由于有线电视数字化的全面推进和地域发展的不平衡，远程加扰应运而生。广州市广播电视网络有限公司张鸿对数字电视远程加扰的实现进行了阐述，总结了各环节需要注意和解决的问题，建设了一个经济、安全、灵活的远程加扰系统。

　　1、远程加扰的背景

　　随着数字电视的普及推广，数字电视用户快速增长，在很多地方城市地区的数字电视转换已经基本完成，数字转换的重点开始向区市、乡镇转移。一方面由于地域发展的不平衡性，某些区市、乡镇的资费政策和城市地区不同，另一方面某些频道内容需要本地化处理，这就需要当地对少量节目进行加密打包，但如果当地小前端再安装一套独立的CA系统，不仅经济上重复浪费投资也不利于全程全网的管理，于是远程加扰应运而生。所谓远程加扰，简单来说就是远端的数字电视系统和中心机房共用一套CA系统，即复用加扰器在本地，CA在远程的异地机房，通过专用的网络通道将复用加扰器和CA系统连通，效果等同于在本地安装一套CA系统。通过远程加扰的方式， 既解决了异地重新打包加扰的需要，又避免了CA系统的重复建设。

　　2、数字电视系统加扰原理

　　实现信息加密、解密以及密码管理传输是CA系统的核心。在CA系统中，对信息的加密一般有三种：首先是对音视频、数据流的加扰，它是通过扰码序列对信息流进行加密处理的过程，由加扰器按照一定的伪随机序列和算法完成，伪随机生成器的初始条件受控于控制字（CW）。在接收端在初始条件已知的情况，可以推测出生成的扰码序列。根据这个原理，只要在接收端有一个相同的扰码生成器，同时将CW发送给接收端用于控制它，运用对应的解扰算法就可以对相应的信息流解扰恢复原始信号。原理上只要获得了CW，系统就被破解了。所以如何将CW安全送到接收端，就成了CA系统的核心。后面的两重加密过程便是为实现CW的安全传送并达到授权控制的目的。所以为实现保密，使用授权密钥ks对控制字CW加密形成授权控制信息（ECM），复用到传送流当中。最后使用分配密钥KD对授权密钥ks加密形成授权管理信息（EMM），也复用到传送流当中。

　　从以上的加密过程可以看出一个已获得授权的接收端使用相关业务要依次获取EMM，ECM。对这些信息的提取要依靠节目管理系统提供的PSI /SI信息（特殊节目信息/节目信息）。节目管理系统将节目的加密情况（是否加密）、加密系统类型等信息描述在PSI/SI信息中。其中最重要的是信息表条件接收表（CAT）和节目映射表（PMT）。

　　CAT 表针对具体CA系统中的用户的授权情况，含有标识具体CA系统的CA＿System＿Id和用于获取EMM信息的索引EMM＿Pid，通过这两项内容就可以获得用户所在CA系统的EMM信息。PMT表是针对节目的加密情况，含有CA＿System＿Id信息用于表示节目是用何种CA系统加密，以及EMM＿Pid用于告知用户如何搜索ECM。CA＿System＿Id可唯一标识CA系统，分配到用户的智能卡中含有这项内容，用户端的条件接收过程就是从读取卡内的CA＿System＿Id开始的，获取相应的EMM，ECM后，解密解扰的工作就按与发送端相逆的顺序开始了。分配密钥KD通常固化在智能卡中，用户通过购买智能卡方式获得，避免广播方式的信道传送有被窃取的可能。如果将授权密钥ks通过安全通道分配给用户，一样也能起到保护控制字的效果，为什么要再加一层加密操作呢？ 这种体制是为实现授权控制的目的。

　　3、远程加扰系统的实现

　　3．1 远程加扰的业务需求模型

　　一般来说远程的业务模型如下：本地的前端通过SDH 等传输网络接收来自中心机房的经过加扰的TS流， 然后对相应流里面需要处理的频道进行解扰，对该频道进行处理后形成一新的TS 流， 再和原流里面的其它节目复用加扰播出。在这个过程中，不经过本地处理的节目所有特性保持不变，在二次复用的过程中所有音频、视频、数据透传；本地处理的节目除了重新复用打包外，还需重新加扰，加扰的参数可以和原来保持一致也可以重新设定。本地复用加扰设备和CA的通讯通过IP专线的方式解决，简单地来看，就像一根超长的网线连接CA系统和复用加扰器。

　　3．2 系统框架的搭建

　　确定了远程加扰的业务流程后，可以很方便地搭建远程加扰的系统框架。在搭建远程加扰系统的时候，有两点需要慎重考虑选择：（1）本地复用加扰器的网管是选择本地还是远程方式。（2）网络专线的选择。

　　3．3 网络安全的研究和解决

　　在数字电视系统远程加扰的实现中，不但要考虑业务如何顺利实现，也要考虑到因为远程加扰带来的网络安全的问题。因为远程加扰的设备和网管一般所处的机房安全管理程度不高，如果不考虑网络安全问题，直接和中心机房的CA系统连接，容易给黑客、病毒带来可乘之机，造成条件接收系统的很大安全漏洞，所以实现远程加扰不是简单地连通远端和中心机房，网络的安全问题是必须研究和解决的。根据实际情况和将来业务的发展，经过仔细研究并结合现有网络结构，采用了以下的网络连接方案，可以看出，在解决网络安全方面主要采取了以下几项措施：

　　（1）远端加扰系统和中心机房系统分别处于不同网段，在物理上做到和中心机房住用系统物理隔离。（2）每个远端与中心机房连接之前都采用防火墙进行隔离，防止各种非法接入和病毒。（3）各个远端加扰系统通过中心机房的三层交换机和CA系统的防火墙连接，做到了各远端加扰系统彼此之间的物理隔离及与中心CA系统间的安全防护。通过网络安全的解决方案，在顺利实现远程加扰业务的基础上，实现了各地加扰系统和主系统之间的网络安全互不影响。

　　3．4 参数配置的考虑及容易出现的问题

　　由于远程加扰的业务需求并不是纯粹把一个TS 流里所有节目进行重新加扰， 而是部分节目重新加扰，其它节目保持不变，所以在重新复用加扰的时候，参数的设置要考虑这一特点，另外也容易出现一些容易忽略的问题，总结主要有下面几点：1）需要重新加扰的节目的ECM 需要在本地生成，并且为保持数据的一致性，PID 尽量保持和原来一致。2）因重新复用和加扰的原因（有可能本地加扰不采用同密的）的问题，为避免因参数不一致出现的故障，CAT 表、PAT 表、PMT 表最好选择本地重新生成。3）不在本地远程加扰的节目，相关的所有参数采用透传的方式到输出端。4）视音频、ECM、EMM、各种SI 表的带宽要根据原有TS 流的情况设定，不然会出现各种问题。

　　3．5 不同产品打包策略的处理

　　远程加扰的业务需求一方面是为了对某些节目进行本地处理，另一方面也是满足各地资费政策、市场策略的不同的需要，所以在完成远程加扰的时候，也可以结合各地不同的情况实现不同的产品打包策略。一般来说，产品的打包策略的实现可以由BOSS或CA实现，不同的CA也有自己的处理方法。有些CA系统ECM里面的AC信息比较简单，只包含节目的基本信息，所以在远程加扰的时候不需要做和主系统不同的定义。某些CA系统里，AC信息非常丰富， 产品的定义是由AC信息决定的，有各种不同的AC模板，可以非常方便地指定某一节目属于一个还是多个产品，从而实现节目的产品打包策略，这时，远程加扰就要根据当地添加相应的AC信息。

　　从原理上看，实现远程复用加扰并不复杂，只需要有稳定可靠的传输通道、合适的设备就能快速实现。但在实际实施中，还需要考虑安全、参数设置、自费、网管方式、可扩展性等多方面的因素。